Platform
php
Component
simple-customer-relationship-management-system
Opgelost in
1.0.1
CVE-2026-5325 beschrijft een cross-site scripting (XSS) kwetsbaarheid in SourceCodester Simple Customer Relationship Management System. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts uit te voeren in de browser van een gebruiker, mogelijk leidend tot accountovername of andere schadelijke acties. De kwetsbaarheid treft versie 1.0 van het systeem. Een patch is beschikbaar, upgrade daarom naar de meest recente versie.
Een succesvolle exploitatie van CVE-2026-5325 kan een aanvaller in staat stellen om kwaadaardige JavaScript-code uit te voeren in de context van een geauthenticeerde gebruiker van het Simple Customer Relationship Management System. Dit kan leiden tot het stelen van gevoelige informatie, zoals gebruikersnamen, wachtwoorden en klantgegevens. De aanvaller kan ook de website vervalsen om gebruikers te misleiden of malware te verspreiden. De impact is verhoogd doordat de exploitatie publiekelijk bekend is en gemakkelijk te misbruiken kan zijn, wat de kans op aanvallen vergroot.
De exploit voor CVE-2026-5325 is publiekelijk bekendgemaakt, wat de kans op misbruik aanzienlijk verhoogt. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de ernst ervan bevestigt. Er zijn geen bekende actieve campagnes gerapporteerd, maar de openbare beschikbaarheid van de exploit maakt het een aantrekkelijk doelwit voor automatische scanners en kwaadwillenden.
Organizations using Simple Customer Relationship Management System version 1.0, particularly those with publicly accessible instances or those handling sensitive customer data, are at risk. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromised account could be used to exploit the vulnerability and impact other users.
• php / web:
curl -I 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep -i 'X-Powered-By'• generic web:
curl -s 'http://your-target/create-ticket.php?Description=<script>alert("XSS")</script>' | grep 'alert("XSS")'disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-5325 is het upgraden naar een versie van Simple Customer Relationship Management System die de kwetsbaarheid heeft verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om de /create-ticket.php endpoint te beveiligen en kwaadaardige input te filteren. Controleer de input van de Description parameter op potentieel schadelijke code en sanitize deze voordat deze wordt weergegeven. Na de upgrade, verifieer de fix door een testticket aan te maken met een payload die XSS zou moeten triggeren; dit zou geen script moeten uitvoeren.
Werk bij naar een gecorrigeerde versie van het CRM-systeem. Neem contact op met de leverancier voor een patch of een bijgewerkte versie die de Cross-Site Scripting (XSS) kwetsbaarheid in het bestand create-ticket.php oplost.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5325 is a cross-site scripting (XSS) vulnerability in Simple Customer Relationship Management System version 1.0, allowing attackers to inject malicious scripts via the Description field in /create-ticket.php.
You are affected if you are using Simple Customer Relationship Management System version 1.0 and have not applied a patch or implemented mitigating controls.
Upgrade to a patched version of Simple Customer Relationship Management System. If a patch is unavailable, implement input validation and output encoding, and consider a WAF.
While no confirmed exploitation campaigns are currently known, the vulnerability is publicly disclosed, increasing the likelihood of exploitation.
Refer to the SourceCodester website or relevant security forums for updates and advisories regarding CVE-2026-5325.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.